|
ỦY BAN NHÂN DÂN
TỈNH THÁI NGUYÊN
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
73/2024/QĐ-UBND
|
Thái Nguyên, ngày
31 tháng 12 năm 2024
|
QUYẾT ĐỊNH
SỬA ĐỔI, BỔ SUNG MỘT SỐ ĐIỀU CỦA QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG
TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN
TỈNH THÁI NGUYÊN BAN HÀNH KÈM THEO QUYẾT ĐỊNH SỐ 10/2020/QĐ-UBND NGÀY 08 THÁNG
5 NĂM 2020 CỦA ỦY BAN NHÂN DÂN TỈNH THÁI NGUYÊN
ỦY BAN NHÂN DÂN TỈNH THÁI NGUYÊN
Căn cứ Luật Tổ chức chính quyền
địa phương ngày 19 tháng 6 năm 2015;
Căn cứ Luật sửa đổi, bổ
sung một số điều của Luật Tổ chức Chính
phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;
Căn cứ Luật
Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật An
toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật An
ninh mạng ngày 12 tháng 6 năm 2018;
Căn cứ Luật
Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định
số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ
thống thông tin theo cấp độ;
Căn cứ Thông
tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và
Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;
Căn cứ Thông
tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và
Truyền thông về việc hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày
01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp
độ;
Căn cứ Thông
tư số 19/2023/TT-BTTTT ngày 25 tháng 12 năm 2023 của Bộ trưởng Bộ Thông tin và
Truyền thông Quy định chi tiết và hướng dẫn một số điều của Quyết định số
8/2023/QĐ-TTg ngày 05 tháng 4 năm 2023 của Thủ tướng Chính phủ về mạng truyền số
liệu chuyên dùng phục vụ cơ quan Đảng, Nhà nước;
Theo đề nghị của
Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 164/TTr-STTTT ngày
20/12/2024.
QUYẾT ĐỊNH:
Điều 1: Sửa đổi, bổ sung một số điều
của Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công nghệ
thông tin của cơ quan nhà nước trên địa bàn tỉnh Thái Nguyên ban hành kèm theo
Quyết định số 10/2020/QĐ-UBND ngày 08 tháng 5 năm 2020 của Ủy ban nhân dân tỉnh
Thái Nguyên, như sau:
1. Sửa đổi, bổ sung khoản
2 Điều 2 như sau:
“2. Hoạt động ứng dụng công nghệ thông tin của các cơ quan, đơn
vị phải tuân thủ theo nguyên tắc bảo đảm an toàn thông tin mạng và bảo vệ an
ninh mạng được quy định tại Luật An toàn thông tin mạng, Luật An ninh mạng, Luật
Giao dịch điện tử.”
2. Bổ sung khoản 3a, khoản 3b vào sau khoản 3 Điều 3 như sau:
“3a. Chủ quản hệ
thống thông tin: Được quy định tại khoản 5 Điều 3 Luật An toàn thông tin mạng,
sau đó được làm rõ chi tiết tại khoản 1 Điều 3 Nghị định số 85/2016/NĐ-CP. Cụ
thể: Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản
lý trực tiếp đối với hệ thống thông tin.
Đối với cơ quan,
tổ chức nhà nước, chủ quản hệ thống thông tin là các bộ, cơ quan ngang bộ, cơ
quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương
hoặc là cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp,
mở rộng hệ thống thông tin đó.
3b. Đơn vị vận
hành hệ thống thông tin: Được quy định tại khoản 3 Điều 3 Nghị định số
85/2016/NĐ-CP. Cụ thể: Đơn vị vận hành hệ thống thông tin là cơ quan, tổ chức
được chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin.
Trong trường hợp chủ quản hệ thống thông tin thuê ngoài dịch vụ công nghệ thông
tin, đơn vị vận hành hệ thống thông tin là bên cung cấp dịch vụ.”
3. Sửa đổi, bổ
sung khoản 1 Điều 4 như sau:
“1. Các hành vi bị
nghiêm cấm về an toàn thông tin, an ninh mạng, giao dịch điện tử quy định tại
Điều 7 Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015, Điều 8 Luật An
ninh mạng ngày 12 tháng 6 năm 2018, Điều 5 Luật Bảo vệ bí mật nhà nước ngày 15
tháng 11 năm 2018, Điều 6 Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023.”
4. Bổ sung Điều
5a như sau:
“5a. Bảo vệ bí mật
nhà nước trong hoạt động ứng dụng công nghệ thông tin
1. Quy định về soạn
thảo, in ấn, phát hành và sao chụp tài liệu mật:
a) Không được soạn
thảo, lưu giữ, chuyển giao, đăng tải, phát tán thông tin, tài liệu có chứa nội
dung bí mật nhà nước trên máy tính hoặc thiết bị khác đã kết nối hoặc đang kết
nối với mạng Internet, mạng máy tính, mạng viễn thông, trừ trường hợp lưu giữ
bí mật nhà nước theo quy định của pháp luật về cơ yếu.
b) Không được in,
sao chụp tài liệu bí mật nhà nước trên các thiết bị kết nối mạng internet.
c) Phải bố trí ít
nhất 01 máy vi tính độc lập riêng, không kết nối mạng nội bộ và mạng Internet
dùng để quản lý, soạn thảo, lưu trữ các tài liệu mật của nhà nước theo quy định.
2. Khi sửa chữa,
khắc phục các sự cố của máy tính dùng soạn thảo văn bản mật, các phòng, đơn vị
phải báo cáo cho người có thẩm quyền. Không được cho phép các tổ chức, cá nhân
không có trách nhiệm trực tiếp sửa chữa, xử lý, khắc phục sự cố.
3. Trước khi
thanh lý các máy tính trong các cơ quan nhà nước phải dùng các biện pháp kỹ thuật
xoá bỏ vĩnh viễn dữ liệu trong ổ cứng máy tính.”
5. Bổ sung điểm d
khoản 2 Điều 6 như sau:
“d) Các tên miền
(bao gồm cả tên miền *.thainguyen.gov.vn) khi không còn sử dụng, các cơ quan,
đơn vị có Văn bản gửi đến Sở Thông tin và Truyền thông và Trung Tâm Internet Việt
Nam (VNNIC) để đề nghị hủy tên miền; các hệ thống thông tin không sử dụng, chủ
quản hệ thống thông tin thực hiện việc thu hồi máy chủ, thu hồi ứng dụng và thực
hiện việc lưu trữ dữ liệu ra thiết bị lưu trữ ngoài và yêu cầu cơ quan, đơn vị
cung cấp dịch vụ lưu ký xóa hoàn toàn dữ liệu trên các máy chủ.”
6. Bổ sung khoản
9 Điều 8 như sau:
“9. Khi kết nối từ
xa vào máy chủ để quản trị, phải sử dụng phương thức kết nối có mã hóa. Khuyến
khích sử dụng mạng diện rộng của tỉnh được thiết lập trên nền tảng mạng truyền
số liệu chuyên dùng của các cơ quan Đảng, Nhà nước để truy nhập, khai thác các
hệ thống thông tin dùng chung của tỉnh.”
7. Sửa đổi, bổ
sung Điều 9 như sau:
“1. Việc đảm bảo an toàn
hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức phải được
thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy
bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật. Nội dung yêu cầu bảo đảm an
toàn hệ thống thông tin theo cấp độ thực hiện theo quy định tại Điều 9 và Điều
10 Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông
tin và Truyền thông.
2. Đánh giá, phân loại cấp
độ an toàn thông tin của hệ thống thông tin
a) Chủ quản hệ thống
thông tin có trách nhiệm chỉ đạo, tổ chức thực hiện phương án đảm bảo an toàn hệ
thống thông tin theo cấp độ theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01
tháng 7 năm 2016 của Chính phủ.
b) Đơn vị vận hành hệ thống
thông tin thực hiện xác định cấp độ và lập hồ sơ đề xuất cấp độ bao gồm các tài
liệu được quy định tại Điều 15 Nghị định số 85/2016/NĐ-CP, gửi cơ quan có thẩm
quyền thẩm định, phê duyệt theo quy định tại khoản 1 Điều 14 Nghị định số
85/2016/NĐ-CP.
3. Hệ thống thông tin khi
được đầu tư xây dựng mới hoặc mở rộng, nâng cấp cần được kiểm thử về tính an
toàn, bảo mật trước khi nghiệm thu, bàn giao đưa vào khai thác, sử dụng theo
quy định tại điểm b khoản 3 Điều 10 Thông tư số 24/2020/TT-BTTTT ngày 09/9/2020
của Bộ trưởng Bộ Thông tin và Truyền thông quy định về công tác triển khai,
giám sát công tác triển khai và nghiệm thu dự án đầu tư ứng dụng công nghệ
thông tin sử dụng nguồn vốn ngân sách nhà nước.
4. Sở Thông tin và
Truyền thông tổ chức thanh tra, kiểm tra việc tuân thủ các quy định của pháp
luật về an toàn thông tin tại các cơ quan, đơn vị; các doanh nghiệp cung cấp dịch
vụ viễn thông, Internet và các doanh nghiệp khác có liên quan trên địa bàn tỉnh.”
8. Bổ sung Điều
9a như sau:
“9a. Quản lý giám
sát an toàn hệ thống thông tin
1. Chủ quản hệ thống
thông tin phải triển khai hệ thống giám sát an toàn thông tin đáp ứng các yêu cầu
tại Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ
Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông
tin.
2. Sở Thông tin
và Truyền thông có trách nhiệm tổ chức giám sát an toàn thông tin đối với các hệ
thống thông tin được đặt tại Trung tâm dữ liệu tỉnh.
3. Đối với các hệ
thống thông tin, phần mềm, ứng dụng, cơ sở dữ liệu không được đặt tại Trung tâm
dữ liệu tỉnh thì chủ quản hệ thống thông tin có trách nhiệm tự thực hiện hoặc
yêu cầu doanh nghiệp cung cấp dịch vụ bảo đảm các yêu cầu giám sát an toàn hệ
thống thông tin theo quy định của pháp luật.
4. Định kỳ hàng
năm tổ chức đánh giá, kiểm tra đối với hệ thống thông tin nội bộ tại cơ quan,
đơn vị. Thực hiện các biện pháp bảo trì cần thiết để bảo đảm khả năng xử lý và
tính sẵn sàng của hệ thống thông tin.”
9. Bổ sung Điều
9b như sau:
“9b. Quản lý thuê
dịch vụ công nghệ thông tin
1. Khi ký kết hợp
đồng thuê dịch vụ công nghệ thông tin, cơ quan, đơn vị sử dụng dịch vụ phải xác
định rõ phạm vi, trách nhiệm, quyền hạn và nghĩa vụ của các bên về bảo đảm an
toàn thông tin. Trong hợp đồng phải bao gồm các điều khoản về việc xử lý vi phạm
quy định bảo đảm an toàn thông tin và trách nhiệm bồi thường thiệt hại do hành
vi vi phạm của bên cung cấp dịch vụ gây ra.
2. Trách nhiệm của
cơ quan, đơn vị trong quá trình sử dụng dịch vụ công nghệ thông tin;
a) Yêu cầu bên
cung cấp dịch vụ phải bảo mật thông tin, dữ liệu, mã nguồn, tài liệu thiết kế;
triển khai các biện pháp bảo đảm an toàn thông tin theo quy định tại Quy chế
này, Luật An toàn thông tin mạng, Luật An ninh mạng và các quy định khác có
liên quan;
b) Giám sát chặt
chẽ và giới hạn quyền truy cập của bên cung cấp dịch vụ khi cho phép truy cập
vào hệ thống thông tin của cơ quan, đơn vị.
3. Trách nhiệm của
cơ quan, đơn vị khi phát hiện bên cung cấp dịch vụ có dấu hiệu vi phạm quy định
bảo đảm an toàn thông tin
a) Tạm dừng hoặc
đình chỉ hoạt động của bên cung cấp dịch vụ tùy theo mức độ vi phạm;
b) Thông báo
chính thức các hành vi vi phạm của bên cung cấp dịch vụ;
c) Thu hồi ngay lập
tức quyền truy cập hệ thống thông tin đã cấp cho bên cung cấp dịch vụ;
d) Kiểm tra, xác
định, lập báo cáo mức độ vi phạm và thiệt hại xảy ra; thông báo cho bên cung cấp
dịch vụ và tiến hành các thủ tục xử lý vi phạm và bồi thường thiệt hại...
4. Trách nhiệm của
cơ quan, đơn vị khi kết thúc sử dụng dịch vụ
a) Thu hồi quyền
truy cập hệ thống thông tin và các tài sản khác liên quan đã cấp cho bên cung cấp
dịch vụ; thay đổi các khóa, mật khẩu truy cập hệ thống thông tin;
b) Yêu cầu bên
cung cấp dịch vụ chuyển giao đầy đủ các thông tin, dữ liệu, mã nguồn, tài liệu
thiết kế và các công cụ cần thiết để bảo đảm cơ quan, đơn vị vẫn có thể khai
thác sử dụng dịch vụ được liên tục kể cả trong trường hợp thay đổi bên cung cấp
dịch vụ.”
10. Bổ sung khoản 1a và khoản 1b vào Điều 11 như sau:
“1a. Nguyên tắc ứng cứu xử
lý sự cố
a) Chủ động, kịp thời,
nhanh chóng, chính xác, đồng bộ và hiệu quả;
b) Phối hợp chặt chẽ,
tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố an toàn thông tin;
c) Ứng cứu xử lý sự cố
trước hết phải được thực hiện, xử lý bằng lực lượng tại chỗ và trách nhiệm
chính của chủ quản hệ thống thông tin;
d) Việc xử lý sự cố an
toàn thông tin phải bảo đảm quyền và lợi ích hợp pháp của cơ quan, đơn vị; cá nhân,
bảo mật thông tin cá nhân, thông tin riêng của cơ quan, đơn vị khi tham gia các
hoạt động ứng cứu xử lý sự cố.
1b. Phân nhóm sự cố an
toàn thông tin:
a) Sự cố do bị tấn công mạng:
tấn công từ chối dịch vụ; tấn công giả mạo; tấn công sử dụng mã độc; truy cập
trái phép, chiếm quyền điều khiển; tấn công thay đổi giao diện; tấn công mã hóa
phần mềm, dữ liệu, thiết bị; phá hoại thông tin, dữ liệu, phần mềm; nghe trộm,
gián điệp, lấy cắp thông tin, dữ liệu; các hình thức tấn công mạng khác.
b) Sự cố do lỗi của hệ thống,
thiết bị, phần mềm, hạ tầng kỹ thuật;
c) Sự cố do lỗi của người
quản trị, vận hành hệ thống.
d) Sự cố liên quan đến
các thảm họa tự nhiên như bão, lụt, động đất, hỏa hoạn.”
11. Sửa đổi, bổ
sung một số khoản của Điều 14 như sau:
a) Sửa đổi, bổ
sung khoản 1 và khoản 2 như sau:
“1. Là cơ quan chuyên
trách về an toàn thông tin của UBND tỉnh, có trách nhiệm tham mưu UBND tỉnh về
công tác bảo đảm an toàn thông tin mạng trên địa bàn tỉnh và chịu trách nhiệm
trước UBND tỉnh trong việc bảo đảm an toàn thông tin mạng cho các hệ thống
thông tin của tỉnh.
2. Thực hiện thủ tục xác
định cấp độ an toàn thông tin mạng và bảo đảm an toàn cho các hệ thống thông
tin theo quy định của Luật An toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP
ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ,
Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông
tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định
85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về việc bảo đảm an toàn hệ
thống thông tin theo cấp độ và theo các hướng dẫn của Bộ Thông tin và Truyền
thông, đặc biệt đối với các hệ thống thông tin đã kết nối hoặc có nhu cầu kết nối
với Cơ sở dữ liệu quốc gia về dân cư, Hệ thống định danh và xác thực điện tử (Hệ
thống thông tin phục vụ triển khai Đề án 06).”
b) Sửa đổi, bổ
sung khoản 8 như sau:
“8. Là cơ quan đầu mối,
phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin; tổ
chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin mạng trên
địa bàn tỉnh. Tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc
gia và thực hiện trách nhiệm, quyền hạn của thành viên mạng lưới ứng cứu an
toàn thông tin mạng quốc gia theo quy định tại Quyết định số 05/2017/QĐ-TTg
ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án
ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.”
12. Sửa đổi, bổ
sung khoản 4 Điều 17 như sau:
“4. Các cơ quan,
đơn vị có trách nhiệm thực hiện xác định cấp độ an toàn thông tin mạng và bảo đảm
an toàn cho hệ thống thông tin của đơn vị quản lý theo quy định tại Luật An
toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của
Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và hướng dẫn của Bộ
trưởng Bộ Thông tin và Truyền thông tại Thông tư số 12/2022/TT-BTTTT ngày 12
tháng 8 năm 2022 quy định chi tiết và hướng dẫn một số điều của Nghị định
85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về việc bảo đảm an toàn hệ
thống thông tin theo cấp độ.”.
Điều
2. Quyết định này có hiệu lực kể từ ngày
20/01/2025.
Điều
3. Chánh Văn phòng Ủy ban nhân dân tỉnh;
Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các sở, ban, ngành, đoàn thể
của tỉnh; Chủ tịch Ủy ban nhân dân các huyện, thành phố; Chủ tịch Ủy ban nhân
dân các xã, phường, thị trấn và các tổ chức, cá nhân có liên quan chịu trách
nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Văn phòng Chính phủ;
- Bộ Thông tin và Truyền thông;
- Cục Kiểm tra văn bản QPPL, Bộ Tư pháp;
- Thường trực Tỉnh ủy;
- Thường trực HĐND tỉnh;
- Ủy ban Mặt trận Tổ quốc tỉnh;
- Đoàn Đại biểu Quốc hội tỉnh;
- Chủ tịch, các Phó Chủ tịch UBND tỉnh;
- Các sở, ban, ngành, đoàn thể của tỉnh;
- UBND các huyện, thành phố;
- Trung tâm thông tin tỉnh;
- Lưu: VT, KGVX, TH.
Thaidh/QĐ58.T12
|
TM. ỦY BAN NHÂN
DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Lê Quang Tiến
|
Môi giới chuyên nghiệp
